Column: Ms(s)p? Maak je vooral op voor NIS2

12 november 2024, 11:25 Door -Redactie-

De Europese richtlijn NIS2 stelt zoals bekend strenge regels aan bedrijven uit diverse sectoren. Op grond van de NIS2 heeft een bedrijf van een bepaalde omvang de zorgplicht om zijn IT-omgeving passend te beveiligen. Dit gaat aan de hand van technische, organisatorische en operationele maatregelen.

Jasper-Hulsebosch-De-Vos-en-Partners-Advocaten
Jasper Hulsebosch

De NIS2 is ook van toepassing op managed service providers en managed security service providers als zij kwalificeren als een middelgrote of grote organisatie. Concreet betekent dit dat msp’s of mssp’s met minder dan 10 miljoen omzet en minder dan 50 werknemers niet onder de NIS2 en de Nederlandse uitvoering daarvan, de Cyberbeveiligingswet, gaan vallen en dus niet direct gebonden zijn aan de strenge cyber­securityregels. Dat lijkt dus duidelijk, maar kleine bedrijven die managed (security) services aanbieden, krijgen wel degelijk via een achterdeur te maken met de NIS2.

Supply chain

Bij zulke bedrijven is er namelijk altijd een zorgplicht wanneer ze zaken doen met bedrijven die gebonden zijn aan de NIS2: de supply chain. De Europese Commissie heeft afgelopen zomer een zoheten ‘uitvoeringshandeling’ gepubliceerd waarin ook de regels omtrent de supply chain security nog eens worden benadrukt. De concepttekst is nog niet goedgekeurd, maar het geeft wel een inkijkje in welke maatregelen de NIS2 waarschijnlijk gaat verlangen voor de beveiliging van de toeleveranciersketen.

Wanneer jouw klanten onder de NIS2 vallen dan moeten ze een supply chain-securitybeleid opstellen en hanteren. Daarin staat onder andere dat toeleveranciers (jij dus) voldoen aan hun cybersecurity vereisten. Niet zo gek dus dat ze vooraf criteria moeten vaststellen op grond waarvan ze hun leveranciers kiezen (jij dus) en dat ook in het contract vast moeten leggen.

Natuurlijk houdt het daar niet op. Periodiek moeten ze kijken of alles goed is gegaan en nog steeds gaat. Daarvoor moeten ze ook jouw cyber­beveiligingspraktijk monitoren. Om het nog ingewikkelder te maken, moeten jouw klanten (die onder NIS2 vallen) een register bijhouden, met daarin de contactgegevens van jouw toeleveranciers en een lijst van IT-producten, -diensten en -services die die leveranciers aanbieden.

Dus je krijgt vrijwel zeker te maken met de NIS2, tenzij je alleen zakendoet met de onderkant van het mkb. Gelukkig heeft de Nederlandse Cyberbeveiligingswet vertraging opgelopen tot het derde kwartaal volgend jaar, dus je hebt nog even.

Maar ik zou er toch snel aan beginnen als ik jou was.

Door -Redactie-
Special

Security & Privacy Dossier 2024

De ICT-wereld is snel. Mis niets.

Meld je nu aan voor de ChannelConnect nieuwsbrief.

Send this to a friend